Соединитель Proofpoint TAP (с помощью Функции Azure) для Microsoft Sentinel
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Разрешенные события щелчка вредоносных программ
ProofPointTAPClicksPermitted_CL
| where classification_s == "malware"
| take 10
Фишинговые события щелчка заблокированы
ProofPointTAPClicksBlocked_CL
| where classification_s == "phish"
| take 10
События вредоносных программ, доставленные
ProofPointTAPMessagesDelivered_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "malware"
| take 10
События фишинга сообщений заблокированы
ProofPointTAPMessagesBlocked_CL
| mv-expand todynamic(threatsInfoMap_s)
| extend classification = tostring(threatsInfoMap_s.classification)
| where classification == "phish"
Необходимые компоненты
Чтобы интегрироваться с Proofpoint TAP (с помощью Функции Azure), убедитесь, что у вас есть:
- Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения о Функции Azure см. в документации.
- Ключ API Proofpoint TAP: требуется имя пользователя и пароль API Proofpoint TAP. Дополнительные сведения об API Proofpoint SIEM см. в документации.
Инструкции по установке поставщика
Примечание.
Этот соединитель использует Функции Azure для подключения к Proofpoint TAP для извлечения журналов в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Сведения см. на странице с ценами на функции Azure.
(Необязательный шаг) Безопасное хранение рабочих областей и ключей авторизации API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
ШАГ 1. Действия по настройке API Proofpoint TAP
- Войдите в консоль Proofpoint TAP
- Перейдите к Подключение приложениям и выберите субъект-службу
- Создание субъекта-службы (ключ авторизации API)
ШАГ 2. Выберите ОДИН из следующих двух вариантов развертывания для развертывания соединителя и связанной функции Azure
ВАЖНО. Прежде чем развертывать соединитель Proofpoint TAP, укажите идентификатор рабочей области и первичный ключ рабочей области (можно скопировать из следующего), а также ключи авторизации API proofpoint TAP, которые легко доступны.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.